打算在IDC機房部署VPN環境,Openvpn也是一個不錯的選擇:開源,好用,而且免費。
OpenVPN簡單介紹
OpenVPN是一個用於建立虛擬專用網路(Virtual Private Network加密通道的免費開源軟體。使用OpenVPN可以方便地在家庭、辦公場所、住宿酒店等不同網路訪問場所之間搭建類似於區域網的專用網路通道。OpenVPN使用方便,執行效能優秀,支援Solaris、Linux 2.2+(Linux 2.2+表示Linux 2.2及以上版本,下同)、OpenBSD 3.0+、FreeBSD、NetBSD、Mac OS X、Android和Windows 2000+的作業系統,並且採用了高強度的資料加密,再加上其開源免費的特性,使得OpenVPN成為中小型企業及個人的VPN首選產品。使用OpenVPN配合特定的代理伺服器,可用於訪問Youtube、FaceBook、Twitter等受限網站,也可用於突破公司的網路限制;OpenVPN允許參與建立VPN的單點使用公開金鑰、電子證書、或者使用者名稱/密碼來進行身份驗證。它大量使用了OpenSSL加密庫中的SSLv3/TLSv1協議函式庫。目前OpenVPN能在Solaris、Linux、OpenBSD、FreeBSD、NetBSD、Mac OS X與Windows 2000/XP/Vista/Windows 7以及Android上執行,幷包含了許多安全性的功能。它並不是一個基於Web的VPN軟體,也不與IPsec及其他VPN軟體包相容。
1)加密
OpenVPN使用OpenSSL庫加密資料與控制資訊:它使用了OpenSSL的加密以及驗證功能,意味著,它能夠使用任何OpenSSL支援的演算法。它提供了可選的資料包HMAC功能以提高連線的安全性。此外,OpenSSL的硬體加速也能提高它的效能。
2)驗證
OpenVPN提供了多種身份驗證方式,用以確認參與連線雙方的身份,包括:預享私鑰,第三方證書以及使用者名稱/密碼組合。預享金鑰最為簡單,但同時它只能用於建立點對點的VPN;基於PKI的第三方證書提供了最完善的功能,但是需要額外的精力去維護一個PKI證書體系。OpenVPN2.0後引入了使用者名稱/口令組合的身份驗證方式,它可以省略客戶端證書,但是仍有一份伺服器證書需要被用作加密。
3)網路
OpenVPN所有的通訊都基於一個單一的IP埠,預設且推薦使用UDP協議通訊,同時TCP也被支援。OpenVPN連線能通過大多數的代理伺服器,並且能夠在NAT的環境中很好地工作。服務端具有向客戶端“推送”某些網路配置資訊的功能,這些資訊包括:IP地址、路由設定等。OpenVPN提供了兩種虛擬網路介面:通用Tun/Tap驅動,通過它們,可以建立三層IP隧道,或者虛擬二層乙太網,後者可以傳送任何型別的二層乙太網路資料。傳送資料可通過LZO演算法壓縮。IANA指定給OpenVPN的官方埠為1194。OpenVPN 2.0以後版本每個程式可以同時管理數個併發的隧道。
OpenVPN使用通用網路協議(TCP與UDP)的特點使它成為IPsec等協議的理想替代,尤其是在ISP(Internet service provider)過濾某些特定VPN協議的情況下。
4)安全
OpenVPN與生俱來便具備了許多安全特性:它在使用者空間執行,無須對核心及網路協議棧作修改;初始完畢後以chroot方式執行,放棄root許可權;使用mlockall以防止敏感資料交換到磁碟;OpenVPN通過PKCS#11支援硬體加密標識,如智慧卡。
下面記錄下在centos系統安裝OpenVPN環境過程:
一、基礎環境
伺服器端:CentOS6.8/Centos7
客 戶 端:Windows7/Liunx
伺服器端軟體:epel-release-latest-6.noarch.rpm/epel-release-latest-7.noarch.rpm,openvpn,easy-rsa
客戶端軟體: openvpn-install-2.3.4
二、安裝過程
1)關閉SELINUX
[root@ops-server3 ~]# setenforce 0 //臨時生效
[root@ops-server3 ~]# sed -i 's#SELINUX=enforcing#SELINUX=disabled#g' /etc/sysconfig/selinux //永久生效
2)安裝"EPEL"源
[root@ops-server3 ~]# wget http://dl.fedoraproject.org/pub/epel/epel-release-latest-6.noarch.rpm
--------------------------------------------------------------------------------------------------------------
這裡是在Centos6下安裝的,如果是Centos7下,就下載:
wget http://dl.fedoraproject.org/pub/epel/epel-release-latest-7.noarch.rpm
--------------------------------------------------------------------------------------------------------------
[root@ops-server3 ~]# rpm -ivh epel-release-latest-6.noarch.rpm
[root@ops-server3 ~]# yum makecache //更新本地源
3)安裝openvpn
[root@ops-server3 ~]# yum -y install openvpn easy-rsa
4)easy-rsa配置
[root@ops-server3 ~]# mkdir -p /etc/openvpn/easy-rsa/keys
[root@ops-server3 ~]# cp -a /usr/share/easy-rsa/2.0/* /etc/openvpn/easy-rsa/
[root@ops-server3 ~]# vim /etc/openvpn/easy-rsa/vars
...... export KEY_COUNTRY="CN" export KEY_PROVINCE="CA" export KEY_CITY="Bei Jing" export KEY_ORG="huanqiu" //定義所在的組織 export KEY_EMAIL="wangshibo@huanqiu.cn" export KEY_OU="huanqiu" //定義所在的單位 export KEY_NAME="vpnserver" //定義openvpn伺服器的名稱 export KEY_CN="huanqiu" //這行配置,前邊預設的“#”號註釋去掉
5)建立CA證書和金鑰
[root@ops-server3 ~]# cp /etc/openvpn/easy-rsa/openssl-1.0.0.cnf /etc/openvpn/easy-rsa/openssl.cnf
[root@ops-server3 ~]# cd /etc/openvpn/easy-rsa //切換工作目錄
[root@ops-server3 ~]# source ./vars //讓配置檔案生效
[root@ops-server3 ~]# ./clean-all
[root@ops-server3 ~]# ./build-ca //之前已經在vars檔案中配置好相關引數,所以此步執行後直接按Enter鍵,一直到結束
建立服務端證書
[root@ops-server3 ~]# ./build-key-server server
按Enter鍵進行,在提示輸入密碼的地方設定一個密碼如huanqiu,在An optional company name處輸入公司名如huanqiu,最後輸入兩次“y”回車
建立客戶端證書
[root@ops-server3 ~]# ./build-dh //建立祕鑰檔案,需要執行一段時間(或者會提示再次執行source ./vars生效操作)
[root@ops-server3 ~]# ls /etc/openvpn/easy-rsa/keys/ //可以看到,目錄中已經建立好了證書檔案
[root@ops-server3 ~]# cd /etc/openvpn/easy-rsa/keys
[root@ops-server3 keys]# cp dh2048.pem ca.crt server.crt server.key /etc/openvpn
[root@ops-server3 keys]# cd /etc/openvpn/easy-rsa
[root@ops-server3 easy-rsa]# ./build-key client
建立客戶端證書檔案,按回車進行,在提示輸入密碼的地方輸入之前服務端證書建立過程中設定的證書密碼,An optional company name處輸入先前設定的公司名字(huanqiu)。
注意:一定要和之前輸入的一樣.,其他引數如果前面設定了,也要保持一致!
另外注意:有多少個客戶端就需要./build-key client 多少次,當然client名字需要不同!
[root@ops-server3 easy-rsa]# ls /etc/openvpn/easy-rsa/keys/ //可以看到,生成了客戶端的證書檔案
6)拷貝服務端證書、祕鑰等
[root@ops-server3 ~]# cp /etc/openvpn/easy-rsa/keys/{server.crt,server.key,dh2048.pem,ca.crt} /etc/openvpn
7)配置VPN服務端
[root@ops-server3 ~]# cp /usr/share/doc/openvpn-*/sample/sample-config-files/server.conf /etc/openvpn/
[root@ops-server3 ~]# vim /etc/openvpn/server.conf //下面的配置,要去掉前面的預設註釋符";"
.......... .......... local 10.17.1.20 //監聽地址 port 1194 //openvpn監聽的服務埠 proto tcp //監聽協議 dev tun //採用路由隧道模式 ca ca.crt //ca證書路徑 cert server.crt //伺服器證書 key server.key //伺服器金鑰 dh dh2048.pem //金鑰交換協議檔案 server 192.168.19.0 255.255.255.0 //給客戶端分配地址池,注意:不能和VPN伺服器內網網段有相同 ifconfig-pool-persist ipp.txt push "route 192.168.20.0 255.255.255.0" //允許客戶端訪問內網20.0的網段。 push"dhcp-option DNS 8.8.8.8" //dhcp分配dns client-to-client //客戶端之間互相通訊 keepalive 10 120 //存活時間,10秒ping一次,120 如未收到響應則視為斷線 comp-lzo //傳輸資料壓縮 max-clients 100 //最多允許 100 客戶端連線 user nobody //使用者 group nobody //使用者組 persist-key persist-tun status /var/log/openvpn/openvpn-status.log log /var/log/openvpn/openvpn.log verb 3
8)iptables防火牆設定
清空iptables配置:
[root@ops-server3 ~]# iptables -F
[root@ops-server3 ~]# iptables -X
配置openvpn的nat功能,將192.168.19.0網段(不加-s 192.168.19.0/24就表示所有網段)的包轉發到eth0口:
[root@ops-server3 ~]# iptables -t nat -A POSTROUTING -s 192.168.19.0/24 -o eth0 -j MASQUERADE
新增FORWARD白名單
[root@ops-server3 ~]# iptables -A FORWARD -i tun+ -j ACCEPT
[root@ops-server3 ~]# service iptables save //儲存iptables配置
[root@ops-server3 ~]# service iptables restart //重啟iptables
開啟系統的路由功能
[root@ops-server3 ~]# echo 1 > /proc/sys/net/ipv4/ip_forward //臨時開啟,重啟伺服器後失效
[root@ops-server3 ~]# vim /etc/sysctl.conf //永久開啟
.....
net.ipv4.ip_forward = 1
[root@ops-server3 ~]# sysctl -p
9)啟動openvpn
[root@ops-server3 ~]# service openvpn start
[root@ops-server3 ~]# lsof -i:1194
---------------------------------------------------------------------------
centos7下啟動openvpn的命令如下:
systemctl -f enable openvpn@server.service //設定啟動檔案
systemctl start openvpn@server.service //啟動openvpn的命令
--------------------------------------------------------------------------
10)配置客戶端
[root@ops-server3 ~]# cp /usr/share/doc/openvpn-*/sample/sample-config-files/client.conf /etc/openvpn/client.ovpn
[root@ops-server3 ~]# vim /etc/openvpn/client.ovpn
....... client dev tun proto tcp //改為tcp remote 110.103.10.86 1194 //OpenVPN服務端的外網IP和埠 resolv-retry infinite nobind persist-key persist-tun ca ca.crt //client1的證書 cert client.crt key client.key //client1的金鑰 ns-cert-type server comp-lzo verb 3
11)客戶端連線(連線之前,在客戶端"telnet openvpn服務端ip 1194",檢查下埠是否能連上)
a)windows客戶端
下載工具:https://pan.baidu.com/s/1bp1jnfp (提取密碼:3rre)
將openvpn服務端的/etc/openvpn/easy-rsa/keys/{ca.crt,client.crt,client,key}和/etc/openvpn/client.ovpn這四個檔案下載到windows客戶機本地,並放到openvpn客戶端工具安裝路徑的config資料夾下面。
然後啟動OpenVPN GUI,在電腦右下角的openvpn圖示上右擊,選擇“Connect”。如果openvpn的圖示顯示綠色,就表示已經連線上vpn了。
連線成功後,可以檢視客戶機分配的ip地址是否正常,是否在openvpn服務端server.conf裡配置的ip地址段內,以及客戶機的外網ip是否是openvpn服務端外網ip。
有個問題:
如果連線OpenVPN的客戶機比較多,那麼就要把ca.crt、client.crt、client.key、client.ovpn四個檔案都拷貝到客戶機上,這勢必會很麻煩。
為了方面連線,可以採用下面策略:
將ca.crt、client.crt、client.key這三個檔案內容全部拷貝到client.ovpn檔案裡,這樣只需將client.ovpn一個檔案拷貝到客戶機上就可以連線!
[root@ops-server3 ~]# vim /etc/openvpn/server.conf //註釋掉下面的三行,然後在檔案底部新增
........... ........... ;ca ca.crt //將這行註釋掉 ;cert client.crt //將這行註釋掉 ;key client.key //將這行註釋掉 <ca> //貼上ca.crt檔案內容 -----BEGIN CERTIFICATE----- MIIExDCCA6ygAwIBAgIJAPQzONLZmHecMA0GCSqGSIb3DQEBCwUAMIGcMQswCQYD VQQGEwJDTjELMAkGA1UECBMCQ0ExEDAOBgNVBAcTB2JlaWppbmcxEDAOBgNVBAoT B2h1YW5xaXUxEDAOBgNVBAsTB2h1YW5xaXUxEDAOBgNVBAMTB2h1YW5xaXUxEjAQ BgNVBCkTCXZwbnNlcnZlcjEkMCIGCSqGSIb3DQEJARYVd2FuZ3NoaWJvQHhxc2hp amllLmNuMB4XDTE3MDExODA2Mjk0OVoXDTI3MDExNjA2Mjk0OVowgZwxCzAJBgNV BAYTAkNOMQswCQYDVQQIEwJDQTEQMA4GA1UEBxMHYmVpamluZzEQMA4GA1UEChMH aHVhbnFpdTEQMA4GA1UECxMHaHVhbnFpdTEQMA4GA1UEAxMHaHVhbnFpdTESMBAG A1UEKRMJdnBuc2VydmVyMSQwIgYJKoZIhvcNAQkBFhV3YW5nc2hpYm9AeHFzaGlq aWUuY24wggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAwggEKAoIBAQDGUQ61hv4ARMco k437NQa/gSLYCmAXSHSo9cHY/yf/Cm8JqNcnylrHR0LrszS8nMrpL6gNZkwt5ZGT mHPANbMNj4lwxELHGEVRdeI2VugwJsxBV890e8HsTR4ie6J7P452gcy5AUBcbNtz HxKAnNFVjLe9i18NoUz9hmDt01e9VQNKER6iktDBbAgUoPRS7XaX4tIJiQRoqb2C vsuxQEurAWXcR1rFbU57xeKi5p1jYp/GDgo+UH4/ecQLQHkVArxxqTGaV3aF3GS4 79M9S2qJzlZ9yZMOShQiuCqR+/IJ1nw+RaH36SRDI/Ijai3+fq0AYGwartjtCatJ 6q2Ac7xvAgMBAAGjggEFMIIBATAdBgNVHQ4EFgQUjl/9/WRWMN3/2nylqqi5x1Hs PCswgdEGA1UdIwSByTCBxoAUjl/9/WRWMN3/2nylqqi5x1HsPCuhgaKkgZ8wgZwx CzAJBgNVBAYTAkNOMQswCQYDVQQIEwJDQTEQMA4GA1UEBxMHYmVpamluZzEQMA4G A1UEChMHaHVhbnFpdTEQMA4GA1UECxMHaHVhbnFpdTEQMA4GA1UEAxMHaHVhbnFp dTESMBAGA1UEKRMJdnBuc2VydmVyMSQwIgYJKoZIhvcNAQkBFhV3YW5nc2hpYm9A eHFzaGlqaWUuY26CCQD0MzjS2Zh3nDAMBgNVHRMEBTADAQH/MA0GCSqGSIb3DQEB CwUAA4IBAQBA4bGYaAwImaYUiAOcb4Q1yiZ8FrWXjXc+/5DxS6ad0q033ZwSXPVe aKVyWTEKQ2xL/YfHMW+Y1s16AUBS15gblHoSUPjMSDpsIvhvbEE3izAcByF8bnim yAuWMNoWzWsjyH7RNPJi+p9hvZgpqz3AE65rc6bXp48visLRfhs5c8e4W46/bQu6 K0Ebj/qPWs6g8WC0VSpFE883hroSeWammuAobC69F6FnQSEeZAOG2GnP8mQ5JXWX KBA6dB16dA2DYOo+7YppZmOlBUi86izOl6JwD1ShhyLzTfnvaj86Gxc0U2AF5KHm ZXK8Nes6z+XYP3w2emfC3Irf7LEwiZDZ -----END CERTIFICATE----- </ca> <cert> //貼上client.crt檔案內容 -----BEGIN CERTIFICATE----- MIIFCTCCA/GgAwIBAgIBAjANBgkqhkiG9w0BAQsFADCBnDELMAkGA1UEBhMCQ04x CzAJBgNVBAgTAkNBMRAwDgYDVQQHEwdiZWlqaW5nMRAwDgYDVQQKEwdodWFucWl1 MRAwDgYDVQQLEwdodWFucWl1MRAwDgYDVQQDEwdodWFucWl1MRIwEAYDVQQpEwl2 cG5zZXJ2ZXIxJDAiBgkqhkiG9w0BCQEWFXdhbmdzaGlib0B4cXNoaWppZS5jbjAe Fw0xNzAxMTgwNjQzMTVaFw0yNzAxMTYwNjQzMTVaMIGbMQswCQYDVQQGEwJDTjEL MAkGA1UECBMCQ0ExEDAOBgNVBAcTB2JlaWppbmcxEDAOBgNVBAoTB2h1YW5xaXUx EDAOBgNVBAsTB2h1YW5xaXUxDzANBgNVBAMTBmNsaWVudDESMBAGA1UEKRMJdnBu c2VydmVyMSQwIgYJKoZIhvcNAQkBFhV3YW5nc2hpYm9AeHFzaGlqaWUuY24wggEi MA0GCSqGSIb3DQEBAQUAA4IBDwAwggEKAoIBAQDLcNY7Z++v9yqIgg6mcApuFF+e JIGaXQBL1xR7cG/mNNbsBJtjhBcCjfI1mP/ZVBzVyuWaUr8HP1Z7YaO6kv60iPDh vvzeTObpBnpXAzmNQhTwEUDAfS4Z/8W0uM2Pm8tdMDoL/0X02eqnZWZVC5f0JJEn WHSF+3TRcy5UKJxEpQ+Qa2M1cO8mXG3lcD9r4B1aq+TNbuGHBtWBzuccHtibOz0J fTKdqsup9CAZJlh0T8KbqYJr/YqjlPL0I3dOR/xBXhuhT9c5iwCxu3g7qS/+QAbv VLUwxuQuini7ppYNV6dZLxXUeHrNVCZiyRBkP/iHUe05Rk9guKN3xQkJ7TGZAgMB AAGjggFTMIIBTzAJBgNVHRMEAjAAMC0GCWCGSAGG+EIBDQQgFh5FYXN5LVJTQSBH ZW5lcmF0ZWQgQ2VydGlmaWNhdGUwHQYDVR0OBBYEFFW73ySODGqH6M8x4NieVjpQ 8SA6MIHRBgNVHSMEgckwgcaAFI5f/f1kVjDd/9p8paqoucdR7DwroYGipIGfMIGc MQswCQYDVQQGEwJDTjELMAkGA1UECBMCQ0ExEDAOBgNVBAcTB2JlaWppbmcxEDAO BgNVBAoTB2h1YW5xaXUxEDAOBgNVBAsTB2h1YW5xaXUxEDAOBgNVBAMTB2h1YW5x aXUxEjAQBgNVBCkTCXZwbnNlcnZlcjEkMCIGCSqGSIb3DQEJARYVd2FuZ3NoaWJv QHhxc2hpamllLmNuggkA9DM40tmYd5wwEwYDVR0lBAwwCgYIKwYBBQUHAwIwCwYD VR0PBAQDAgeAMA0GCSqGSIb3DQEBCwUAA4IBAQBwOBSP+BUTqSBtviGsagh1zhfm 5glQaCw/ZtH/8tYFmWx7adwd9GxagqMQgXVoW3xhhaWfHmjNeIsPOl8C4gFMRUZC MT8LrWYm9iYj6ey4J9n877mkau1B2k27ev4YdmMCtvVql8lCkHvChUt8XzmyqM+5 YEUfWf1jgZ7K6sBpFXwMxEItGpuo8H9Iew2vApQlwqhLDmwe1AmWHbenBuZW2vhy akY7tA3b4gkQU95TfrqxIPfbUxe/HLME3WIijeai8l1S82FUYxHq3J6mNIZyIi8e NaQe7kKTZmrYH9LRvf9wXiV8VPMQeAN4mExjlDzsqQDJRO5+hflWcnmsYjAu -----END CERTIFICATE----- </cert> <key> //貼上client.key檔案內容 -----BEGIN PRIVATE KEY----- MIIEvQIBADANBgkqhkiG9w0BAQEFAASCBKcwggSjAgEAAoIBAQDLcNY7Z++v9yqI gg6mcApuFF+eJIGaXQBL1xR7cG/mNNbsBJtjhBcCjfI1mP/ZVBzVyuWaUr8HP1Z7 YaO6kv60iPDhvvzeTObpBnpXAzmNQhTwEUDAfS4Z/8W0uM2Pm8tdMDoL/0X02eqn ZWZVC5f0JJEnWHSF+3TRcy5UKJxEpQ+Qa2M1cO8mXG3lcD9r4B1aq+TNbuGHBtWB zuccHtibOz0JfTKdqsup9CAZJlh0T8KbqYJr/YqjlPL0I3dOR/xBXhuhT9c5iwCx u3g7qS/+QAbvVLUwxuQuini7ppYNV6dZLxXUeHrNVCZiyRBkP/iHUe05Rk9guKN3 xQkJ7TGZAgMBAAECggEAOHjJ/xOK5T2nAN2ZU3omawgcwrk/gKnwOx0pAlrjtPNV 9Y4R1D4GZR8h7N7bpmhC2NXJhl0RyeE7EGS6HkBPk62vr/pkFxEhx+2UaDLs9tkx FrKzVrto4K6vIstpxENq4CNS+aGSubUD/hOXpGPjelHsOQ/EyKxUcQ+X/KSJPERV 8wHedCX5Ywas3vgA9B7KAOS1pX6LRo8a/GHy71A5YO5TQYkvMmhu4fcWI44jgFuY dngqoKlagpKvdMTliqA4HzuBupwxoFEEsV2UvWcsi6+b76sRMZii/FNxRhRsdVSB RqzfUYCnJrvYVTKKgpSin16r/2/IY9Jsvsu16w2CQQKBgQD92dtFlPeCZooxO02k 6969fhdasWgaMlvagxPQhV6rY1z62JhAa5yT+o/+o7fSCDGlEFRMDfh3euk/xRcS JhDWPa/WrZVepUdPZaxgNxPbPSGGoKfzTfTkNCYOtCTop655mxQAB/Q+A2meRW9v 35xSmVoLyQNeoZZ1MvPdZ6s0IwKBgQDNKbtTIPmSctFWelV9SNil45P/RWVVGxuJ IXKZKQ5oat6mYu23fgzZMwWtWs2qd9aeE/4P94TOGAx80RkVdZZZlRRAI0PeLDTD DPverJsLigKzM8hwbWB1NqSd5+ei5xxdUWHsnlxDcHzlFqrpZVrZqJpIIqSMDVW7 pfbuElYREwKBgACjnMa3Ekx0v6JSGObyZRQrDhn/Wli+ibaqH9GllFBwJprHEtMO sk05E0W72cmgladpvByY6Gg8mfu8HkvAZshzTU8IDtk3J0/O3Lk9SkKCC+SP4Pxe 1OACNZpR38nqKilKN6msW3QQhCKO4DHy6SzYD/75mZWSaJOQ9kY3bZnrAoGBAMGg jSbbjC9nJaLUOjLPuYh2zIqzV/uGZep6IsniMbLiidfGrkvrLv0eZlFBzbEBARCY FcPD+xb3I3H5dg8Gtys8w6v0nGzmk7UyX9O8W2f8jKfMS3OwBsUZGSveXoMkU2TP FfhXTQRo+bbMOemkuqWJtnI2H83+F9fNvsrZi1j5AoGAY7zK9XqXGxZCUaQBfVeT LKFMfBNDnFFjq7crKfzh4p6wzskJOZ7AmGJp8L7hUB64exsrhhGaGqomjPR7K+YC 0/UtIdQLurVau23WmZGZbYPnvEN8e6xKodQT+zzcLxX62TdRPJ3QGjXeuO8B2E3S HvVtQ7QQeLIrwmFsu1UuaYY= -----END PRIVATE KEY----- </key>
b)Linux客戶端
下載epel源
[root@IDC-server ~]# wget http://dl.fedoraproject.org/pub/epel/epel-release-latest-6.noarch.rpm
[root@IDC-server ~]# rpm -ivh epel-release-latest-6.noarch.rpm
先安裝openvpn
[root@IDC-server ~]# yum -y install openvpn
然後將openvpn服務端的/etc/openvpn/easy-rsa/keys/{ca.crt,client.crt,client,key}和/etc/openvpn/client.ovpn這四個檔案拷貝到客戶機的/etc/openvpn目錄下
或者將服務端配置好的client.ovpn檔案(其他三個檔案內容已經寫到它裡面)拷貝到/etc/openvpn
連線VPN伺服器
[root@IDC-server ~]# openvpn --config /etc/openvpn/client.ovpn
[root@IDC-server ~]# ps -ef|grep openvpn
最後檢查下連線openvpn成功後的ip地址情況